Вредоносная программа группы PowerPool использует новую уязвимость

Следующая новость

Компания ESET — лидер в области информационной безопасности — предупреждает о распространении группой киберпреступников PowerPool «0-дневной» угрозы. Новая вредоносная программа использует уязвимость в Microsoft Windows, а именно в функции Advanced Local Procedure Call (ALPC), и позволяет использовать Local Privilege Escalation (LPE).

Об уязвимости стало известно 27 августа, а уже через несколько дней после этого специалисты ESET зафиксировали распространение эксплойта группой киберпреступников PowerPool. Согласно данным телеметрии ESET и загрузок VirusTotal цели угрозы зафиксированы в Чили, Германии, Индии, Филиппинах, Польше, России, Великобритании, США и Украине.

Для заражения жертв группа PowerPool использует ряд инструментов. Одним из них является эксплойт, который использует уязвимость ALPC Local Privilege Escalation.

Распространяется вредоносная программа различными способами, среди которых — отправка электронных писем с вредоносным программным обеспечением во вложении. На основе данных телеметрии специалисты ESET предполагают, что злоумышленники не осуществляют массовых спам-рассылок, а тщательно подходят к выбору своих жертв.

Группа PowerPool преимущественно использует два различных бэкдора. Один из них злоумышленники применяют для осуществления начальной разведки на устройствах жертв. Второй бэкдор загружается на рабочие станции, которые представляют интерес для злоумышленников. С помощью этой вредоносной программы злоумышленники могут выполнять команды, останавливать процессы, загружать файлы на компьютер жертвы и собирать информацию с устройства жертвы.

Исследователи ESET продолжают отслеживать использование новой уязвимости и сообщат, как только станет известна новая информация.

Более детальный анализ вредоносной программы группы PowerPool и индикаторы заражения доступны по ссылке.